Malware
Neue Tricks der mobilen Joker-Malware
Die Sicherheitsforscher von Trend Micro entdeckten kürzlich eine neue Version der persistenten mobilen Malware Joker. Das Sample in Google Play nutzte Github-Seiten und -Repositories, um der Entdeckung zu entgehen.
Originalartikel von Zhengyu Dong, Mobile Threats Analyst
Die Sicherheitsforscher von Trend Micro entdeckten kürzlich eine neue Version der persistenten mobilen Malware Joker. Das Sample in Google Play nutzte Github-Seiten und -Repositories, um der Entdeckung zu entgehen. Joker ist für eine ganze Reihe bösartiger Aktivitäten verantwortlich, angefangen vom ungewünschten Anmelden von Nutzern bei Bezahldiensten und Kompromittieren von SMS-Nachrichten bis zum Diebstahl von Kontakten.
Joker sucht seit seiner Entdeckung 2017 immer wieder mobile Nutzer heim. Im Januar 2020 entfernte Google 1700 infizierte Anwendungen aus dem Play Store. Und im September fand der Sicherheitsanbieter Zscaler 17 Samples, die in den Store hochgeladen worden waren.
Die Autoren der Malware haben ständig kleine Änderungen vorgenommen, um Schlupflöcher in Googles Verteidigung zu finden. Zu den früher ausprobierten Techniken gehört Verschlüsselung, um Strings vor den Analyse-Engines zu verstecken sowie „Versionierung“, das heißt das Hochladen einer sauberen Version der App, um dann bösartigen Code über Updates hinzuzufügen. Die neueste Technik nutzt Gibhub-Seiten und -Repositories, um der Entdeckung zu entgehen.
Die analysierte App verspricht Hintergrundmuster in HD- und 4K-Qualität. Sie wurde über tausendmal heruntergeladen, und Google hat sie mittlerweile aus dem Play Store entfernt.
Es ist die Version, die als neue Technik Github missbraucht, um die bösartige Payload zu speichern, im Gegensatz zu früher, als die Payload über eingefügten Code ausgeliefert wurde. Die Github-Seiten und –Repositories in Verbindung zur Malware sind alle abgeschaltet worden.
Eine ausführliche technische Analyse der neuen Joker-Version und des Infektionsablaufs liefert der Originalbeitrag.